Merhaba, bu yazımda sizlere RDP yaparken alınan NLA hatası ve çözümünden bahsedeceğim. Uzaktan masaüstü bağlanırken “requires Network Level Authentication (NLA), but your Windows domain controller cannot be contacted” hatası mı alıyorsunuz? Bu yazıda NLA kökenli RDP hatasının nedenlerini, adım adım teşhis ve düzeltme yöntemlerini bulacaksınız.
Bağlanmaya çalıştığınız uzak sunucu Network Level Authentication (NLA) gerektiriyor; ancak istemci makineniz Domain Controller (DC) ile iletişim kuramıyor ve bu yüzden kimlik doğrulama gerçekleşemiyor. Bu hata genellikle domain erişim problemi, DNS/AD çözümleme hatası, saat senkronizasyonu veya ağ segmentasyonu nedeniyle ortaya çıkar.
Nedenleri
- Domain Controller’a ulaşılamıyor (ağ, VPN, firewall).
- DNS çözümlemesi hatalı → DC adı çözülemiyor.
- Saat farkı (Kerberos) nedeniyle kimlik doğrulama başarısız.
- Sunucu NLA zorunlu ve istemci DC doğrulaması yapamıyor.
- Yanlış cached / local credential kullanımı.
Hızlı Teşhis Adımları (istemci tarafı)
Ağ erişimini kontrol et
ping <domain-controller-adı>
DNS çözümlemesini doğrula
nslookup <domain-controller-adı>
Domain Controller bulunabilirliğini test et
nltest /dsgetdc:<domainadı>
Saat senkronizasyonunu kontrol et (istemci ve sunucu saatleri aynı mı?)
Eğer VPN kullanıyorsanız, VPN bağlantınızı/route’u kontrol edin.
Geçici Çözüm — Sunucu tarafında (konsol erişiminiz varsa)
Sunucuya iLO/iDRAC/Hyper-V/VMware Console gibi yönetim konsolu ile erişebiliyorsanız NLA’yı geçici olarak kapatabilirsiniz:
- System Properties → Remote sekmesi.
- “Allow connections only from computers running Remote Desktop with Network Level Authentication (NLA)” seçeneğinin işaretini kaldırın.
- Uygula — ardından normal RDP ile bağlanmayı deneyin.
Not: Bu bir güvenlik zayıflatmasıdır — yalnızca bakım amaçlı ve kısa süreli önerilir.
Registry ile NLA’yı kapatma (uzaktan konsol erişimi varsa)
Konsol ile PowerShell/Regedit erişiminiz varsa:
Registry yolu:
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
UserAuthentication değerini 0 yapın:
Set-ItemProperty -Path “HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp” -Name “UserAuthentication” -Value 0 -Type DWord
Restart-Service TermService -Force
Tekrar bağlandıktan sonra güvenlik için UserAuthentication değerini 1 yapmayı unutmayın.
Group Policy ile (Domain ortamında merkezi yönetim)
Domain ortamında kalıcı ve kontrollü çözüm için GPO kullanın:
- Computer Configuration > Policies > Administrative Templates > System > Credentials Delegation altındaki
Require user authentication for remote connections by using Network Level Authentication ayarını Disabled yapabilirsiniz (geçici/özel durumlar için). - GPO değişikliklerinden sonra gpupdate /force uygulayın.
Alternatif: Lokal kullanıcı ile deneme
Eğer domain doğrulaması yapılamıyorsa sunucunun local admin hesabı ile bağlanmayı deneyin:
- Kullanıcı adı formatı: .\Administrator veya SUNUCUADI\Administrator
(Not: Local hesap RDP için etkin olmalı ve RDP izinleri verilmeli.)
Kalıcı Çözümler ve Öneriler
- DNS kayıtlarını ve AD replikasyonunu düzeltin. DC’lerin doğru çözülmesi birincil çözümdür.
- Ağ ve firewall kurallarını gözden geçirin — RDP için gerekli portlar (3389) ve DC erişimi engellenmemeli.
- Saat ve zaman senkronizasyonu (NTP) kurulumu yapın.
- VPN ve routing kurallarını kontrol edip segmentler arası erişimi sağlayın.
- İzleme: DC erişim hatalarını loglayın; sık tekrarlayan bağlantı sorunları için ağ topolojisi gözden geçirilmeli.
Güvenlik Uyarısı
NLA’yı kalıcı olarak kapatmak güvenlik risklerini artırır (özellikle RDP brute-force ve credential theft). Mümkünse DC erişimi problemini kökten çözün; NLA kapatma yalnızca acil ve geçici bir çözüm olmalıdır. Bu yazımda sizlere RDP yaparken alınan NLA hatası ve çözümünden bahsettim. Faydalı olması dileğiyle.
